Oggi, l'indirizzo e-mail ha la stessa importanza del numero di telefono (e forse anche di più in determinate situazioni). Trattandosi di una delle principali forme di identità digitale, l'indirizzo e-mail è parte integrante delle comunicazioni digitali e consente di entrare in contatto con persone in tutto il mondo. Di fatto, è così fondamentale per la nostra vita oggi che la maggior parte di noi ha almeno due indirizzi (ad esempio, uno per lavoro e uno per uso personale). Naturalmente, gli indirizzi aziendali di tanto in tanto cambiano, mentre quelli personali possono variare solo due o tre volte nel corso dell'esistenza. Proprio come il nome, un indirizzo e-mail contiene un'enorme quantità di informazioni collegate.
Con l'avvento
dello smart working e gli effetti della pandemia che hanno spinto sempre più
persone a essere attive online, i nostri indirizzi e-mail professionali e
personali costituiscono risorse importanti per una sempre più nutrita community
di cybercriminali in tutto il mondo. Ecco perché abbiamo realizzato questa
guida sui rischi che gli indirizzi e-mail possono costituire per i dati
personali e su come tenerli al sicuro.
- Cosa possono fare gli hacker con l'indirizzo e-mail?
- Quali informazioni si possono ricavare da un indirizzo e-mail?
- Qualcuno può rubare la mia identità con l'indirizzo e-mail?
- In che modo gli hacker ottengono l'indirizzo e-mail?
- Come mantenere al sicuro l'indirizzo e-mail
Cosa possono fare gli hacker con l'indirizzo e-mail?
Gli indirizzi e-mail sono il punto di partenza per la maggior parte dei portali e dei moduli di accesso online, sia che si tratti di fare acquisti tramite un'applicazione mobile o di accedere a un sito Web per la prima volta (a volte vengono addirittura usati al posto del nome utente). In quanto punto d'ingresso all'account personale di un utente, hacker e altri malintenzionati possono implementare diversi scenari di frode con un indirizzo e-mail personale o professionale. Se ne hanno l'opportunità, gli hacker possono:
Inviare “e-mail di
phishing”: i messaggi di phishing contengono allegati malware o collegamenti dannosi a
siti Web fraudolenti. Dopo aver fatto clic sul collegamento o scaricato
l'allegato, il malware può penetrare nel sistema ed essere sfruttato per
sottrarre dati personali. Spesso camuffati da azienda rispettabile o sito Web
affidabile (talvolta anche da funzionari governativi), gli hacker faranno
ricorso a sofisticate tecniche di social engineering per ottenere dettagli
personali come numero di conto corrente, codice fiscale, indirizzo, numero di
telefono o password e altro ancora.
Effettuare lo “spoofing” dell'indirizzo e-mail: lo spoofing
comporta la creazione di un indirizzo fittizio simile al tuo, ma con modifiche
minime difficili da individuare (come la sostituzione di un numero con una
lettera o l'aggiunta di un trattino). Così facendo gli hacker possono estorcere
informazioni ad amici e familiari spacciandosi per te. Spesso questo approccio
non viene rilevato dai filtri anti-spam dei client di posta.
Violare gli altri tuoi account online: anche se per portare a termine un
attacco gli hacker hanno bisogno delle password (sia dell'account e-mail che
degli altri account online), è già un buon punto di partenza. Avvalendosi delle
sofisticate tecniche di phishing menzionate in precedenza, i cybercriminali
possono trovare rapidamente più informazioni sul tuo conto attraverso diversi
account online, molto probabilmente iniziando ad accedere all'account e-mail
stesso.
Usare la tua identità online: se un hacker ottiene l'accesso completo al
tuo account e-mail, potrà trovare buona parte delle informazioni personali
sensibili o un modo per accedervi. Oggi, gli account e-mail contengono
qualsiasi tipo di comunicazione, da quelle con amici e familiari ai messaggi di
lavoro, personali e addirittura dei fornitori di servizi finanziari. Tutte
queste informazioni possono essere utilizzate per assumere la tua identità nel
tentativo di estorcere ulteriormente denaro a te o ai tuoi cari.
Sottrarre la tua identità o commettere una frode finanziaria: questo
argomento verrà trattato in maggior dettaglio in seguito, ma come puoi vedere
da quanto detto in precedenza, l'indirizzo e-mail è un punto d'ingresso
digitale alla tua identità fisica. Molte delle tecniche utilizzate dai
cybercriminali sono mirate a estorcere e sottrarre denaro alle vittime. Questo
può avvenire sotto forma di acquisti illegali, trasferimenti di denaro o
detenzione in ostaggio di dati personali tramite ransomware. Questo però non è
solo un problema dei singoli individui, ma anche delle aziende. La diffusione
dei cyberattacchi è aumentata costantemente nell'ultimo decennio e le
violazioni dei dati costano alle aziende migliaia di dollari ogni anno. Per
questo motivo, è fondamentale che anche tu, in quanto dipendente, impari a
trattare con cautela le informazioni di contatto professionali.
Quali informazioni si possono ricavare da un indirizzo e-mail?
Un modo collaudato e testato per raccogliere informazioni su qualcuno attraverso l'indirizzo e-mail consiste nell'usare uno strumento di ricerca inversa. Questi strumenti permettono di inserire un indirizzo e-mail e scoprire a chi appartiene. Spesso forniscono anche dati aggiuntivi come posizione, professione o account dei social media. In realtà, le stesse informazioni sono reperibili con estrema facilità utilizzando un motore di ricerca standard. Dal momento che i motori di ricerca e i relativi Web crawler costituiscono la colonna portante delle attività online di molti utenti, raccolgono un'enorme quantità di dati personali utilizzabili come punto di partenza per molti hacker.
A parte quanto già detto sul furto di dati personali tramite truffe basate sul phishing e il furto di identità, l'indirizzo e-mail può anche contenere alcuni dati importanti sull'identità che gli hacker possono sfruttare per attaccare te e i tuoi cari. Gli indirizzi e-mail di molte persone spesso contengono il nome (o almeno una parte) e un numero facile da ricordare, in genere una data di nascita. Questi due fattori identificativi sono sufficienti per molti cybercriminali per iniziare a raccogliere dati personali online più redditizi.
Qualcuno può rubare la mia identità con l'indirizzo e-mail?
Per farla breve, sì. È possibile trovare abbastanza informazioni per rubare completamente l'identità di qualcuno tramite l'indirizzo e-mail. Tuttavia, non è una cosa semplice o veloce se si è in possesso solo dell'indirizzo e-mail. Perché un cybercriminale metta a segno un furto di identità, deve iniziare a raccogliere dati personali, ad esempio credenziali da fughe di dati, usando le varie tecniche di hacking discusse nelle sezioni precedenti, come una frode sotto forma di simulazione dell'identità di amici e colleghi online, e addirittura la sottrazione fisica di alcuni documenti personali (anche se è un caso raro). Questi dati personali possono quindi essere usati per commettere una svariata gamma di crimini fraudolenti.
In che modo gli hacker ottengono l'indirizzo e-mail?
Considerato tutto quello che gli hacker possono fare solo con un indirizzo e-mail, è importante sapere per prima cosa in che modo entrano in possesso dell'indirizzo.
Pagine con truffe di phishing: allo stesso modo in cui un hacker può utilizzare e-mail di phishing per raccogliere dati personali sul tuo conto, potrebbe anche creare un abbonamento a un sito Web fraudolento, con pagine di accesso o checkout che richiedono di inserire l'indirizzo e-mail. Queste pagine registreranno i dettagli di accesso e-mail (e altre informazioni personali se le inserisci) con uno speciale software keylogger.
Violazioni dei dati su larga scala: in alcuni casi, i cybercriminali possono sottrarre l'indirizzo e-mail attaccando un'azienda o un'istituzione di dimensioni maggiori (come un ospedale o una scuola) e accedendo direttamente ai loro database con l'intento di estrarre informazioni personali. Se ritieni di essere stato vittima di un furto di dati tramite terzi, dovresti seguire la procedura descritta nella nostra Guida alla violazione della privacy personale. A parte questo, le moderne soluzioni di sicurezza sono in grado di monitorare Internet e il Dark Web e di controllare se ci siano state fughe di dati.
Social media: dal momento che gli account di social media di tutti i tipi sono spesso direttamente collegati all'indirizzo e-mail, diversi siti di social media possono essere setacciati alla ricerca di vari tipi di dati personali (tra cui nome, numero di telefono e indirizzo e-mail). Di fatto, alcuni di questi dati possono anche essere utilizzati per indovinare le password per accedere a questi account.
Come mantenere al sicuro l'indirizzo e-mail
Con i rischi che l'esposizione dell'indirizzo (o degli indirizzi) e-mail può costituire per la privacy personale e professionale, è importante sapere come proteggerlo dall'accesso non autorizzato
Password sicure: come abbiamo menzionato in precedenza, è molto
difficile sottrarre informazioni personali essendo in possesso solo di un
indirizzo e-mail ma senza password. Ecco perché rendere la password “sicura”
(con una lunghezza di circa 10-12 caratteri e una combinazione di caratteri
speciali, numeri, lettere maiuscole e minuscole) è uno dei modi migliori per
tenere l'indirizzo e-mail al sicuro dagli hacker. Consigliamo di usare uno strumento per la
generazione e la gestione delle password
per ottenere risultati affidabili.
Filtri e blocco dello spam: assicurati che il filtro anti-spam del
provider di posta sia sempre attivo, in modo che ci siano meno probabilità di
fare clic su un messaggio o un collegamento dannoso. Analogamente, se una di
queste e-mail pericolose riesce a superare il filtro anti-spam (in genere
tramite lo spoofing), è importante rimanere all'erta e bloccare e segnalare
questi domini al provider o al tecnico del reparto IT pertinente.
Registrati per l'autenticazione a due fattori (dove possibile): è
possibile raddoppiare la sicurezza online registrandosi per l'autenticazione a
due fattori (se l'opzione è disponibile). Talvolta indicata come “verifica in
due passaggi" (o “2FA" in breve), la maggior parte dei client e-mail
più affidabili offre questo servizio come standard. L'autenticazione a due
fattori è una misura di sicurezza che richiede di inserire ulteriori informazioni
di identificazione. Queste informazioni di identificazione possono includere
una risposta segreta aggiuntiva a una domanda, un collegamento sicuro inviato
tramite e-mail o un codice di autenticazione inviato direttamente al telefono.
Usa un account e-mail “Burner”: quando ti registri a un sito Web o a
un'applicazione sospetta (o che non proviene da un provider verificato),
dovresti usare un indirizzo e-mail Burner. Si tratta di un account e-mail con
informazioni false o molto poco identificative che possono essere violate senza
timore di conseguenze negative. I moderni account e-mail sono semplici e veloci
da chiudere, quindi puoi tenere attivo questo account a lungo o a breve
termine. Tuttavia, tieni presente che gli account Burner non sono immuni al
malware scaricabile da messaggi e-mail fraudolenti. Se accedi a un account
Burner, fai molta attenzione quando fai clic su collegamenti esterni o scarichi
allegati.
Mantieniti aggiornato sulle
best practice: nel moderno mondo digitale, la
protezione dei dati non è responsabilità solo del reparto IT, ma anche tua.
Ecco perché è importante essere sempre aggiornati sulla formazione in materia
di sicurezza informatica dell'azienda e consultare le risorse giuste in caso di
violazione. Anche a casa, il personal computer dovrebbe essere sempre usato
tenendo a mente le best practice. Fai qualche ricerca online o rivolgiti al
reparto IT o al tuo responsabile per informazioni sulla documentazione e le
misure appropriate e assicurati di segnalare/bloccare immediatamente qualsiasi
e-mail sospetta.
Accertati di non essere vulnerabile all'hijacking della posta e alla perdita di dati. Proteggiti oggi stesso con i piani di sicurezza completi di Kaspersky, disponibili sia per PC Windows che per Mac iOS.
Prodotti correlati:
Kaspersky Security per le piccole imprese
Kaspersky Security per le medie imprese
Articoli e collegamenti correlati:
Spam e phishing | Minacce di truffe di phishing
